In vista della “Ripartenza” del 3 maggio 2020 prevista con il DPCM n. 97 del 11 aprile 2020, salvo eventuali ripensamenti, tutte le imprese sono chiamate a gestire l’emergenza Covid-19 attraverso l’adozione sul luogo di lavoro di protocolli di sicurezza che consentano di mettere a riparo i lavoratori dal rischio di contagio. A questo scopo il 14 marzo 2020 il Governo e le parti sociali hanno siglato un accordo denominato “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”.

Le esigenze produttive combinate con la garanzia di salubrità e sicurezza degli ambienti di lavoro non possono tuttavia “frustrare” il diritto alla riservatezza dei dipendenti e il datore di lavoro dovrà detenere, ove necessario, i dati personali degli interessati con salvezza delle prerogative ad essi connesse.

§ § §

Ad oggi suonano come dei veri e propri Diktat i provvedimenti presi dal Governo in materia di imprese, dal momento che alcune aziende, laddove possibile, dovranno ricorrere alle ferie forzate, al lavoro agile attivabile con modalità “semplificate”, ovvero in via di extrema ratio chiedere la Cassa Integrazione guadagni, fermo infine il blocco dei licenziamenti individuali e collettivi per 60 giorni.

È altrettanto vero però, che ci sono anche reparti aziendali indispensabili alla produzione destinati a rimanere aperti, per i quali dunque il datore di lavoro deve adottare specifiche misure contro la diffusione del virus.

Da qui prende le mosse il Protocollo, incorporato da ultimo nella “Raccolta delle principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da Covid-19 avente implicazioni in materia di protezione di dati personali” aggiornata al 16 aprile 2020, che con lo scopo di programmare il futuro prossimo in ambito sanitario delle imprese, impone il rispetto di determinate misure anti-contagio prescritte dal legislatore di concerto con l’Autorità sanitaria, senza tuttavia trascurare la protezione dei dati personali.

A tal proposito molto chiaro è apparso l’intervento del 2 marzo 2020 da parte dell’Autorità Garante per la protezione dei dati personali, con il quale è stato chiarito come nella raccolta dei dati, i datori di lavoro debbano astenersi dall’acquisire a priori in modo sistematico e generalizzato i dati afferenti i propri dipendenti, non potendo essi, infatti, nemmeno ricorrere a indagini sul singolo lavoratore finalizzate a conoscere la presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. Anzi da questo punto di vista i datori di lavoro, quali titolari del trattamento dei dati dei propri subordinati, vengono esortati a farsi essi stessi garanti dei dati dei soggetti interessati.

Nella pratica il protocollo prevede anzitutto che tutto il personale aziendale venga debitamente informato della vigenza di regole anti-contagio e della possibilità di essere sottoposto al controllo della temperatura corporea; si tratta evidentemente di un trattamento di dati personali, il quale pertanto deve avvenire nel rispetto del Regolamento UE 2016/679 (GDPR) e del D. Lgs. 101/2018 che integra e modifica il D. Lgs. 196/2003 (Codice Privacy).

Ebbene il Protocollo suggerisce di non registrare generalmente il dato acquisito, salvo che la temperatura non sia superiore ai 37.5° e dunque sorga la necessità di documentare le ragioni che non consentono l’ingresso in azienda del dipendente.

In tutti i casi, a maggior ragione in caso di conservazione del dato, occorre inoltre fornire l’informativa sul trattamento dei dati personali. Essa in forma orale o scritta che sia, deve indicare:

• la finalità del trattamento: prevenzione dal contagio da Covid-19;
• la base giuridica: implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 (art. 6, lett. e), nonché art. 9, lett. b), GDPR);
• la durata dell’eventuale conservazione dei dati: in base al perdurare dello stato d’emergenza.

È necessario altresì nominare formalmente i soggetti preposti, tecnicamente incaricati del trattamento ex art. 29 del GDPR e 2 quaterdecies del D.Lgs 101/2018, e impartire loro istruzioni in merito alle attività di trattamento. Nel rispetto del principio cd. di limitazione della finalità (art. 5, par. 1, lett. b), GDPR), i flussi di tali informazioni potranno difatti transitare unicamente dai soggetti preposti/autorizzati ai vertici aziendali e per la finalità tassativa sopra menzionata, la quale non patisce deroga alcuna, salvo che la diffusione dei dati venga giustificata da specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al Covid-19).

Allorquando, invece, sia necessario ricorrere ad un isolamento momentaneo del soggetto dovuto al superamento della soglia di temperatura, l’azienda deve assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Parimenti, nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al Covid-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi, si dovranno applicare misure volte a garantire la privacy del soggetto interessato.

Sempre in questa logica di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, previa informativa sul trattamento, il datore di lavoro potrebbe richiedere il rilascio da parte del proprio dipendente di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al Covid-19.

Quanto infine all’ingresso in azienda di visitatori esterni, anche questi ultimi sono obbligati a sottostare alle regole di sicurezza anti-contagio adottate dall’impresa.

In questo quadro un ruolo determinante potrebbero rivestire soggetti quali:

• il medico competente che, sulla base delle indicazioni del Ministero della Salute, fornisce informazione e formazione ai lavoratori istruzioni per evitare la diffusione del contagio;
• RLS/RLST/ RSPP i quali sono chiamati a considerare l’eventuale aggiornamento del Documento valutazione rischi (cd. DVR);
• l’Organismo di vigilanza (cd. OdV), il quale è coinvolto nelle valutazioni sugli impatti dell’attuale situazione sull’imputabilità del reato di cui all’art. 25-septies D.Lgs. 231/2001, con riferimento agli aspetti di colpa organizzativa connessi alla violazione di norme sulla salute e sicurezza nei luoghi di lavoro;
• il Responsabile per la protezione dei dati (DPO) ex art. 39 comma 1 lett. b) del GDPR, il quale è incaricato di “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

È appena il caso di precisare come tali soggetti non esauriscano l’elenco delle figure tecniche chiamate a dover prendere parte alla gestione di queste tematiche di grande impatto, talvolta infatti potrebbero essere coinvolti responsabili come ad esempio HR, ICT, ovvero consulenti aziendali come ad esempio il legale dell’azienda.

In definitiva, pertanto, è bene evidenziare come tale “innovativo” sistema di sicurezza aziendale anti-contagio diretto a prevenire il diffondersi del Coronavirus, anziché sostituirlo a quello già esistente all’interno degli spazi aziendali, andrà affiancato a quello “consueto”, di talchè il datore di lavoro, quale “debitore” della sicurezza dei propri dipendenti, dovrà farsi coadiuvare in questa nuova strutturazione del complesso aziendale da soggetti esperti in materia che possano assisterlo nell’adempimento dei molteplici obblighi posti a suo carico come la tutela dell’integrità, fisica e morale, dei prestatori di lavoro.

 Foligno 16/04/2020                                                                                                                   AVV. Chiara Brilli
                                                                                                                                                Studio Legale Ficola